Вирус Petya A захватил Украину
Сегодня, 27 июня, вирус-шифровальщик Petya A захватил информационные сети ряда крупных украинских компаний, банков, СМИ и государственных учреждений. Среди жертв вредоносного вируса оказались, в частности Кабинет Министров, Ощадбанк, «Новая почта», аэропорт «Борисполь» и даже сайты тех структур, которые должны с такими явлениями бороться, — Киберполиции и Госспецсвязи.
По данным специалистов, основными целями вируса являются корпоративные пользователи, к которым вирус попадает с помощью спама, преимущественно направленного в кадровые отделы. Вирус заходит под видом письма от кандидата на вакантную должность, в котором предлагается перейти по ссылке на «резюме», однако при открытии воспроизводится не простой текстовый файл, а самораспаковывающийся архив с расширением .EXE. Также вирус может попасть в систему через сторонние ссылки, которые приходят на почту или в мессенджеры.
По данным СБУ, подавляющее большинство заражений операционных систем происходило через открытие вредоносных приложений (документов Word, PDF-файлов), которые были направлены на электронные адреса многих коммерческих и государственных структур.
После того как пользователь открывает файл, перед ним оказывается не документ с информацией об опыте работы кандидата или файл с другой интересующей информацией, а синий экран, что означает, что Petya A уже попал на ПК пользователя.
После перезагрузки компьютера жертва видит имитацию проверки диска (CHKDSK), по окончании которой на экране компьютера загружается вовсе не операционная система, а экран блокировки Petya.
Вымогатель сообщает пострадавшему, что все данные на его жестких дисках были зашифрованы при помощи алгоритма шифрования и восстановить их невозможно, только если пользователь не внесет выкуп ключа дешифрования в биткоинах в эквиваленте суммы $ 300 для разблокировки данных.
Представители украинской киберполиции сообщили об исследовании работы вируса Petya и вариантах возвращения доступа к системе при частичных поражениях этой программой.
Варианты вмешательства этого вирусного кода:
- ПК заражены и данные полностью зашифрованы;
- ПК заражены и частично зашифрованы;
- ПК заражены, но шифрование таблицы MFT еще не началось.